Blog Laboratorio Hispasec

A mí sí. Ocurrió hace unas semanas. Preguntaban por Paula. Os ahorro la conversación... no fue más de un minuto. Pero me picó la curiosidad. Busqué inmediatamente en Google mi móvil y... efectivamente, ahí estaba mi teléfono, como contacto para una cita con una supuesta Paula con dotes de todo tipo (y muy económico, todo sea dicho).

Rápidamente advertí que uno de los teléfonos que se muestran (el segundo) era en realidad una imagen. Un vistazo al código fuente lo verificaba.

Los números son aleatoriamente generados a partir del nombre del archivo de imagen. Cambiando la última letra, conseguimos que aparezca cualquier carácter. El hash del nombre de archivo parece no corresponderse con el del número. Debe estar formado de alguna otra forma. Nótese el nombre (en realidad, un número) del directorio bajo el que se alojan las imágenes.

Curiosamente, el servidor conoce el número que ha formado, puesto que lo muestra en texto claro en otras zonas del anuncio (de hecho, así es como encontré mi propio teléfono).

Os puedo garantizar que los números que aparecen no pertenecen a las señoritas descritas en las fotografías.

Buscando más anuncios con el mismo texto, puedes encontrar que el teléfono no es la única variable aleatoria. La edad, el precio... Así, pueden llegar a aparecer anuncios como este, donde una señora casi centenaria "hace de todo" por poco más de 3 euros la hora.

Más abajo en los anuncios, aparecen las indicaciones para que tú mismo subas el tuyo a través de, por supuesto, un número de teléfono premium. Por tanto, podemos concluir que son burdas técnicas de posicionamiento e imagen. Es posible que tengan muy pocos clientes anunciándose, así que generan anuncios ficticios para animar a potenciales clientes. Así consiguen además posicionarse bien en Google.

El problema es utilizar sin pudor números de teléfono móviles reales. Si yo realmente me llamase Paula y tuviese 35 años, alguien que conociese mi número de teléfono podría pensar muy mal de mí...

Mañana 16 de noviembre, estaré en la I Jornada: "Seguridad en las Comunicaciones y la Información: necesidades del mercado laboral", organizada por la E.T.S. de Ingenieros, Universidad de Sevilla. Hablaré sobre el malware de hoy y cómo defenderse.

El objetivo es dar a conocer a los alumnos de últimos cursos de ingenierías los distintos ámbitos de aplicación de la seguridad en las comunicaciones y la información, ofreciendo una perspectiva empresarial de las demandas en este campo y poniendo de manifiesto las oportunidades laborales y necesidades formativas. Se celebrará en sala de Grados de la E.T.S. Ingenieros de la Universidad de Sevilla a las 9:30 de la mañana.

Participará empresas y organizaciones como Accenture, Telefónica, la Junta de Andalucía, ISDEFE y el Grupo de Informática Forense de la brigada provinvial Sevilla.

Aquí hay más información.

Quería preparar un artículo sobre seguridad en Facebook... y bueno. Ahora sé que tenía que haber usado un seudónimo... ya es demasiado tarde. Me pillaron. :(





Fuente: http://mx.answers.yahoo.com/question/index?qid=20111111161349AAZYrt1

Hace ya unas semanas que me pidieron participar en el blog del Observatorio de seguridad de INTECO donde colaboran varios profesionales del sector (yo soy el de la barba sin corbata).

Aquí dejo el artículo que escribí (dirigido a un público no técnico), ¿Qué querría un atacante de mi ordenador?

Hispasec ha participado una mesa redonda celebrada como un evento paralelo al 5ENISE (Encuentro Internacional de la Seguridad de la Información) el miércoles 26 de octubre a las 19:00. El tema principal era "Hacia una sociedad conectada más confiable" y estuvo moderado por Javier Berciano, que es el coordinador de Operaciones de INTECO-CERT.

Como técnico, reconozco que este tipo de encuentros puede, en un principio, parecer un escenario idóneo en el que divagar y machacar las acostumbradas consignas. Pero no ha sido el caso. El perfil técnico y divulgador de los invitados lo hizo muy interesante, y durante las dos horas que duró la mesa redonda se comentaron situaciones y anécdotas concretas de la vida real a las que nos hemos enfrentado. Pudo seguirse en directo desde streaming y por Twitter a través del hashtag mencionado.

Manolo Benet (securityartwork.com), quiso enfatizar sobre la relajación de la confiabilidad relacionada con aspectos generacionales y la introducción de la etiqueta "Beta" como estándar de facto para muchos servicios.

José Selvi (pentester.es), habló sobre cómo las vulnerabilidades en el software han pasado a ser un peligro en un mundo "virtual" a ser un peligro físico real, y todo esto es a causa del aumento de la informatización y la conectividad de todo tipo de dispositivos.

Yago Jesús (securitybydefault.com) hizo hincapié en la cantidad de nuevos servicios de amplio uso que han sido implementados con un nivel de seguridad deficiente (Twitter, WhatsApp, FourSquare...). También se mostró pesimista sobre la eficacia de la concienciación/educación de los usuarios.

David Hernández (daboblog.com) se centró en los hosting: consecuencias de una mala política de gestión de seguridad o elección del alojamiento.

Desde Hispasec, hablé sobre la responsabilidad de las empresas en la "generación de confianza" en el usuario. ¿Cómo intentan generar confianza? Con un marketing a veces irresponsable una publicidad basada en la ocultación de información. El usuario, que normalmente cree y asimila esos mensajes publicitarios, queda en un estado de indefensión. También incluí a las "configuraciones por defecto" y cómo se toman muy a la ligera.

La organización (Francisco y Javier) fue impecable y (cómo no) el debate continuó extraoficialmente frente a una copa un poco más tarde.


De izquierda a derecha:
@jberciano, @mbenet, @ssantosv, @daboblog, @JoseSelvi, @yjesus, y Francisco Losada.

Hace unos días se hizo público un fallo en varias aplicaciones que utilizan el framework Qt por el que se podría modificar la información que es mostrada al usuario sobre el certificado SSL ofrecido por la página visitada.

El fallo radica en la utilización de objetos QLabel, que soportan ser formateados mediante la clase QStyleSheet. Para aplicar el formato, QStyleSheet permite utilizar etiquetas HTML. Las aplicaciones vulnerables, al no estar preparadas para este tipo de entrada de texto, no la interpretan de forma correcta y producen una salida no esperada, mostrando solamente el texto que queda a la izquierda de la etiqueta HTML. Para poder aprovechar por completo esta vulnerabilidad habría que conseguir que una entidad certificadora firmase el certificado, intentando levantar las mínimas sospechas posibles con el Common Name (CNAME) especialmente preparado. Pero esto lo veremos luego.

Las aplicaciones que han resultado ser vulnerables al utilizar QLabel para mostrar la información de los certificados son KSSL (CVE-2011-3365), los navegadores Rekonq (CVE-2011-3366) y Arora (CVE-2011-3367) y el programa de mensajería instantánea Psi IM (Sin CVE por ahora).

Ya ha sido publicado un parche para subsanar el problema, y tan solo hace falta que sea integrado en cada una de las aplicaciones afectadas:

http://lists.opensuse.org/opensuse-commit/2011-10/msg00874.html

Si se observa la solución, recuerda bastante al principio de un filtro para evitar ataques XSS, sustituyendo en este caso los símbolos <, >, & y " por sus equivalentes en código html.

En el laboratorio de Hispasec, a modo didáctico, hemos querido mostrar lo sencillo que sería explotar esta vulnerabilidad.

Utilizaremos la herramienta 'openssl' para crear un certificado "especialmente manipulado" y lighttpd como servidor. Apache supondría un "problema" porque comprueba que el Common Name (CN) sea idéntico al dominio en el que se está ofreciendo el certificado, no funcionando en caso de ser diferente. Para la prueba, también es necesaria la imagen de una página web que suplantar. Descargamos el contenido de Hispasec.com con WebHttrack.

Se genera una clave con la que firmar el certificado:

openssl genrsa -des3 -out hispasec-uad.key 1024

Y con ella creamos el certificado (firmado por nosotros mismos):

openssl req -new -x509 -key hispasec-uad.key -out hispasec-uad-cert.pem -days 2

Aquí nos irá pidiendo varios datos sobre la empresa para la que se va a crear el certificado. Los rellenamos hasta llegar a "Common Name". El formato de este campo será el siguiente: el texto que queremos que muestre la aplicación de la que nos vamos a aprovechar, una etiqueta HTML, y un texto que no será mostrado. El texto que quedará oculto sería el utilizado para no levantar tantas sospechas en el hipotético caso de intentar que una entidad certificadora firmase nuestro certificado.




Como puede apreciarse en la imagen, después de crear el certificado para el servidor, se ha ejecutado un último comando con el objetivo de comprobar su funcionamiento. La orden simplemente lanza un mini servidor escuchado en el puerto 8080, cuya única función es la de ofrecer el certificado para comprobar que el se ha creado correctamente:

openssl s_server -www -cert cerdificado.pem -key calve.key -accept 8080

El siguiente paso, será montar el servidor que ofrezca el certificado fraudulento. Tras instalar el servidor 'lighttpd', tendremos que configurarlo para ofrecer la conexión a través de SSL. Modificaremos el archivo '/etc/lighttpd/lighttpd.conf', añadiendo las siguientes líneas:




En ellas indicamos que se active el soporte para SSL, la ruta donde se encuentra el certificado, y la carpeta donde se servirán los archivos que serán pedidos mediante el protocolo https.

Hay que señalar que el formato que espera lighttpd de certificado es ligeramente diferente al generado en un principio. Solamente cambia la línea de comandos para su creación, el resto del proceso es exactamente el mismo que el descrito antes:

openssl req -new -x509 -keyout certificado.pem -out certificado.pem
- -days 2 –nodes

Por último, procederemos a copiar el sitio web descargado con httrack al servidor.

Tras unos pequeños retoques para que todos los pasos anteriores encajen a la perfección, podremos acceder finalmente a nuestro servidor con el certificado especialmente manipulado.

Para comprobar el funcionamiento de esta vulnerabilidad, hemos probado el navegador web Arora. Aunque en el advisory sólo se hacía referencia a la versión 0.11 como vulnerable, hemos podido comprobar que la 0.10.2 también lo es.




La advertencia que se observa en la imagen, corresponde a que el certificado de prueba que acabamos de generar no está firmado por una autoridad certificadora. Pero se observa que el CNAME mostrado por el navegador, corresponde a la parte izquierda del que se utilizó para generarlo (hispasec.com<tr>jrascon).

Si nos fijamos en la barra de dirección podéis ver que estoy accediendo a https://hispasec.com. No, no estoy haciendo las pruebas con el servidor de la empresa, simplemente he utilizado la técnica a la que recurren muchos troyanos (entre otros tipos de malware), de
modificar el archivo hosts. Sólo ha sido necesario añadir la siguiente línea:

127.0.0.1 hispasec.com

Tras realizar la petición, Arora nos muestra el certificado para que lo examinemos, ya que no está firmado por ninguna entidad certificadora de confianza, y, como podemos ver, donde debería verse todo el campo Common Name, sólo se ve el principio de la cadena introducida hasta la etiqueta <tr>. Realizando la misma petición desde Firefox vemos que el campo CN se muestra tal y como se introdujo al
crear el certificado.




Y como resultado, tras aceptar nuestro certificado fraudulento, podremos navegar con "toda la seguridad del mundo" a través de la página, ya que estamos utilizando el certificado de hispasec.com. Arora detecta las páginas seguras mostrando en amarillo la barra de direcciones.




Como se puede ver, la dificultad técnica de todo el proceso es casi nula y no hacen falta profundos conocimientos sobre cada uno de los pasos seguidos para entenderlos.

Más información:

* Advisory original
http://www.nth-dimension.org.uk/pub/NDSA20111003.txt.asc

* Documentación QStyleSheet
http://www.kde.gr.jp/~ichi/qt/qstylesheet.html

No sé si son muy representativos los títulos de los apartados... creo que dicen poco sobre el contenido real del libro Máxima Seguridad en Windows.

Encualquier caso, a petición popular (en concreto, dos personas), cuelgo el índice por si os sirviera de ayuda.